Secciones de prueba - Metodología OSSTMM

2. MARCO DE REFERENCIA

2.5 Metodología OSSTMM

2.5.6 Secciones de prueba

En el modelo OSSTMM 3 se dividen en cinco secciones como muestra la tabla7-2

Tabla 7-2 Secciones de OSSTMM

MODULO SECCIÓN

OSSTMM

DESCRIPCIÓN

Seguridad Física Humano Todo el elemento humano

comprometido en la organización Físico Todo lo referente a hardware de la

organización

Seguridad de las comunicaciones

Redes de datos Son los sistemas electrónicos y redes de datos de la organización Telecomunicaciones Comunicaciones analógicas y

digitales de la comunicación

Seguridad del espectro electromagnética

Inalámbricas Señales electromagnéticas en las comunicaciones o cualquier emanación de espectro

Fuente: (RAMÍREZ LÓPEZ JORGE, 2009, p.61)

Para el caso de esta investigación se estudiaran dos secciones que intervienen para determinar las vulnerabilidades que tienen los sistemas operativos:

a. Pruebas de Seguridad Humana

Es una prueba de identificación, la relación con la gente, los más importantes los que operan los ámbitos de cumplimiento de seguridad se puntualizan la seguridad personal.

Los analistas competentes requerirán ambas habilidades de las personas diligentes y habilidades de pensamiento crítico para asegurar la recolección de datos de hecho crea resultados de hecho a través de la correlación y análisis ( HERZOG PETO, 2010,p.105)

Se debe tomar en cuenta las siguientes consideraciones para asegurar una prueba de alta calidad:

-Revisión de postura Logística

Preparación del entorno de prueba de canal necesario para prevenir falsos positivos y falsos negativos que conducen a resultados inexactos ( HERZOG PETO, 2010,p.107)

Equipo de comunicaciones Comunicaciones.

Tiempo

-Verificación detección activa

Determinación de controles activos y pasivos para detectar la intrusión de filtrar o rechazar los intentos de la prueba se debe hacer antes de la prueba para mitigar el riesgo de crear falsos positivos y negativos en los datos obtenidos de los ensayos, así como cambiar el estado de alarma de monitoreo personal o agentes ( HERZOG PETO, 2010,p.108). Monitoreochannel Canal Moderación Supervisión Asistencia Operador -Auditoría visibilidad Acceso de identificación Personal Enumeración -Verificación de acceso

Las pruebas para la enumeración de los puntos de acceso para el personal dentro del alcance.

de uso frecuente para el robo de propiedad de la información, esto puede limitarse a alcance de sólo la interacción de proteger los derechos de privacidad independientes del personal en su privado vida ( HERZOG PETO, 2010,p.109)

Proceso Acceso

Mapa y explorar el uso de canales en el alcance para llegar a los activos. Documentar todos los métodos utilizados y los resultados de esos métodos ( HERZOG PETO, 2010,p.109).

Autoridad

Use el personal en posiciones de autoridad con el control de acceso o que ocupan puestos de gatekeeper a los activos dentro del alcance. Métodos de documentos utilizados en el descubrimiento de personal clave ( HERZOG PETO, 2010,p.109)

Autenticación

Enumerar y prueba de las deficiencias de personal de puerta de enlace y qué privilegios son necesarios para interactuar con ellos para asegurar que sólo identificable autorizada, partes destinadas tengan acceso ( HERZOG PETO, 2010,p.109),

-Verificación de confianza.

Declaraciones falsas Fraude

-La desinformación

Phishing

Son pruebas donde se identifica la suplantación de identidad ( HERZOG PETO, 2010) Abuso

de Recursos

Prueba donde se identifica al personan no autorizado obtener información del ámbito informático sin el debido ( HERZOG PETO, 2010,p.110)

41 En terrorem -Controles de verificación. No repudio Confidencialidad Privacidad. Integridad -Verificación de procesos Mantenimiento La desinformación Due Diligence Indemnización. -Verificación de entrenamiento Educación

Política de Interrupción Mapeo Conciencia

Mapa de las limitaciones descubiertas en la formación de la conciencia de seguridad para el personal a través de análisis de las deficiencias de los procedimientos reales, incluyendo pero no limitado a: la provisión de activos a través de cualquier canal, la capacidad de reconocer la identificación inadecuada y forjado o métodos necesarios, el método de identificación adecuada entre el personal, el uso de medidas de seguridad personales de uno mismo y de los activos, el manejo de los activos confidenciales y sensibles, y la conformidad con la política de seguridad de la organización ( HERZOG PETO, 2010,p.115)

Conciencia Secuestro Revisión segregación

Privacidad Mapeo de Contención Información Evidente

Divulgación Limitaciones

Asignación de exposición Profiling

Competitiva Scouting Inteligencia Negocios Molienda Ambiente de Negocios Verificación Niveles de contención Privilegios Identificación. Autorización Escalation Discriminación. Subyugación.

Continuidad del Servicio. La resiliencia

Continuidad

Seguridad

Mapa y documentar el proceso de porteros de desconexión canales debido a las preocupaciones de evacuación o de seguridad como un análisis de las deficiencias con la regulación y la política de seguridad ( HERZOG PETO, 2010,p.116)

Encuesta Fin Alarma

Verificar y enumerar el uso de un sistema de alerta localizada o en todo el ámbito de aplicación, registro, o un mensaje para cada pasarela de acceso sobre cada canal donde una situación sospechosa se observa por parte de personal ante la sospecha de intentos de elusión, la ingeniería social, o la actividad fraudulenta ( HERZOG PETO, 2010,p.116-117)

Almacenamiento y Recuperación

Documento y verifique el acceso privilegiado y eficiente para la alarma, registro, y los lugares de almacenamiento de notificación y la propiedad ( HERZOG PETO, 2010,p.116-117)

Se ha detallado la seguridad humana como canal de prueba de seguridad para la investigación que se está realizandando puesto que existen algunos ítems que cumplen con la metodología.

e. Pruebas de redes de datos de seguridad

Las pruebas para el canal de datos Redes de Seguridad (COMSEC) requieren interacciones con las garantías de funcionamiento de la red de comunicación de datos existentes que se utilizan para controlar el acceso a la propiedad ( HERZOG PETO, 2010,p.167)

Este canal cubre la implicación de los sistemas informáticos, principalmente las redes de explotación dentro del ámbito objetivo o marco. Mientras que algunas organizaciones consideran que esto simplemente como "pruebas de penetración", el objetivo del cumplimiento cierto de las pruebas de seguridad en este canal es la interacción del sistema y la calidad de funcionamiento pruebas con mediciones brecha a la norma de seguridad requerido se indica en la política de la empresa, regulaciones de la industria, o la legislación regional ( HERZOG PETO, 2010,p.167)

Durante las pruebas, los operadores de terminales y la inteligencia artificial pueden reconocer en curso ataques tanto por proceso y firma. Por esta razón, será necesario el Analista de tener una variedad suficiente de los métodos para evitar divulgación de las pruebas o trabajos con los operadores para asegurar que donde la seguridad falla y cuando tiene éxito es traído a la luz , ( RAMÍREZ LÓPEZ JORGE, 2009,p.16)

Las pruebas que se centran sólo en el descubrimiento de nuevos problemas sólo dejan espacio para correcciones y no diseños para futuras mejoras. Los analistas competentes requerirán un conocimiento adecuado de redes, habilidades de pruebas de seguridad diligentes y habilidades de pensamiento crítico para asegurar la recolección de datos de hecho crea resultados fácticos a través de correlación y análisis, ( RAMÍREZ LÓPEZ JORGE, 2009,p.168)

CAPITULO III

In document Metodología OSSTMM para la detección de errores de seguridad y vulnerabilidad en sistemas operativos de 64 bits a nivel de usuario final. (página 55-61)